研究人員發(fā)現(xiàn)， PINlogger.js可以訪問手機傳感器（包括GPS、相機、麥克風、加速計、磁力計、計步器、陀螺儀等）生成的數(shù)據(jù)，盡管這是首次嘗試，就已經(jīng)能夠破解70%的四位數(shù)PIN碼。梅納扎德通過“PINlogger.js”腳本在第三次嘗試中正確猜測了94%的PIN碼。

因此，惡意網(wǎng)站，以及安裝在設(shè)備上的應(yīng)用（APP）可以使用手機動作傳感器中的信息監(jiān)視用戶。

他在紐卡斯爾大學發(fā)布的新聞稿中解釋稱，移動應(yīng)用和網(wǎng)站不需要請求許可就可以訪問大多數(shù)數(shù)據(jù)，惡意程序可以秘密監(jiān)聽傳感器數(shù)據(jù)，并用來發(fā)現(xiàn)用戶的大量敏感信息，包括通話時間、身體活動、觸屏操作、PIN碼和密碼等。

如果用戶被誘騙將這款PIN記錄器加載到瀏覽器標簽，并在另一個標簽內(nèi)運行銀行應(yīng)用程序，梅納扎德認為該腳本也能窺探用戶的銀行登錄信息。他帶領(lǐng)的研究團隊已經(jīng)從智能手機傳感器中識別了單個數(shù)字，包括點擊、滾動、縮放和數(shù)字鍵盤的數(shù)字。借助PINlogger.js，研究人員可以捕捉4位數(shù)序列。研究人員在文章中強調(diào)，W3C標準規(guī)范并未詳細說明任何政策，也未討論潛在漏洞相關(guān)的風險。

廠商可能并沒有想到在瀏覽器內(nèi)訪問動作傳感器會暴露如此多信息，因為采樣率比較低。

隱私研究人員盧卡什-奧勒杰尼科強調(diào)，Web API對電池充電和藍牙設(shè)備存在潛在危害。

梅納扎德并未要求審查或移除這類API，但表示，盡管研究人員已經(jīng)聯(lián)系了瀏覽器廠商，并提醒了可能會發(fā)生的攻擊場景，截至目前瀏覽器提供商尚未提出解決方案。

他們強調(diào)，一些移動瀏覽器廠商，例如Mozilla、Firefox和蘋果Safari對該問題進行了部分修復。

確保定期修改PIN碼和密碼，以便惡意網(wǎng)站無法識別模式。

不使用的情況下，關(guān)閉后臺運行應(yīng)用，并卸載不需要的應(yīng)用。

使用最新的操作系統(tǒng)和應(yīng)用程序。

僅從正規(guī)應(yīng)用商店安裝應(yīng)用程序。

審核應(yīng)用程序在手機上的許可權(quán)限。

安裝之前，仔細檢查應(yīng)用程序要求的權(quán)限，如有必要，請選擇更合理的許可權(quán)限。